»

Napad na bančne avtomate z IR-kamerami

PhysOrg.com - Ena izmed enostavnih metod za zaščito pred zlorabo na bančnem avtomatu je pazljiv vnos številke PIN. Kadar nepridipravi bančne avtomate opremijo z bralniki zapisa, namestijo tudi kamero, ki snema številčnico, od koder dobijo PIN. Doslej je bilo dovolj, če smo med vpisom PIN-a številčnico prekrili z roko. Raziskovalci s sandiegovske Univerze v Kaliforniji so na avgustovskem USENIX Security Symposiumu prikazali napad, ki stre tudi ta oreh.

Predstavljena zamisel je zelo preprosta. Bančni avtomat lahko opremimo z infrardečo kamero, ki beleži temperaturo posameznih tipk. Pritisnjene tipke ob vnosu PIN-a so toplejše od neuporabljenih, tako da lahko na ta način 'preberemo' kodo tudi, če uporabnik številčnico zakrije z roko.

Če posnetek preberejo takoj po vnosu številke, lahko z 80-odstotno natančnostjo povedo, katere tipke so bile pritisnjene, nato pa odstotek pada. Po...

52 komentarjev

Hekerski napadi na bankomate

Jackpot na bankomatu

vir: Wired News
Wired News - Na BlackHat konferenci prejšnji teden v Las Vegasu je po poročanju medijev največ zanimanja požel prikaz napada na bančne avtomate.

Barnaby Jack je namreč prikazal dva napada na bančne avtomate. Prvi napad zahteva fizični dostop: bančni avtomat (proizvajalca Triton) je potrebno odpreti (vsi bančni avtomati tega proizvajalca uporabljajo isti ključ) in vanj vtakniti USB ključek z zlonamerno programsko opremo. Drugi napad (na avtomat proizvajalca Tranax) pa je mogoč kar preko omrežja. Na obeh sistemih teče operacijski sistem Windows CE. Triton je sicer lansko leto že izdal popravek, ki omogoča samo poganjanje digitalno podpisane programske opreme, tako da ta napad na posodobljenih napravah ni več mogoč.

Oddaljeni...

28 komentarjev

Izpod Črnega Klobuka, 1. dan

Black Hat USA+2010, Las Vegas

Slo-Tech - Letošnja varnostna konferenca Black Hat USA+2010 v Las Vegasu je največja doslej: več kot 4000 obiskovalcev lahko izbira med 11 sočasnimi sekcijami. Prvi dan smo lahko videli nekaj zanimivih prispevkov.

Raziskovalec Dan Kaminsky, sicer znan po odkritju zelo učinkovitega napada z zastrupljanjem predpomnilnika DNS iz leta 2008, je tokrat v duhu nedavnega podpisa korenskih območij (root zones) predstavil svojo vizijo varnejšega interneta - Domain Key Infrastructure. Gre za koncept, ki naj bi dokončno rešil problem zaupanja na internetu pod pogojem, da zaupamo korenskim podpisom strežnikov DNS. Predstavil je nekaj zanimivih idej in implementacij v...

4 komentarji

Petdeset let COBOL-a

Prve vrstice v COBOL-u na luknjanih karticah

ComputerWorld - Programski jezik COBOL je dopolnil petdeset let. Daljnega leta 1959 ga je začela razvijati Grace Hopper, častnica ameriške mornarice. Njena ideja je bila zasnovati jezik, v katerem bi lahko programirali v psevdoangleščini namesto v strojni kodi ali zbirniku, kot je bilo tedaj običajno. Kljub svoji starosti pa COBOL še zdaleč ni za odmet. Še vedno poganja na milijone bančnih avtomatov po svetu, v njej je napisanih tri četrtine poslovnih programov itd. Ocenjujejo, da je trenutno v uporabi 200 milijard vrstic kode v COBOL-u, vsak dan pa dobimo na stotine novih. Znanje COBOL-a naj bi bilo eno izmed varnejših znanj v računalniški branži, saj nudi najvarnejša delovna mesta.

Vse najboljše, COBOL!

124 komentarjev

"Hekanje" elektronskih ključavnic znamke Sentex

Schneier.com - Na blogu Brucea Schneierja je objavljena koda, s katero je mogoče odpreti vsako elektronsko ključavnico proizvajalca Sentex. Proizvajalec je namreč v svojo napravo vgradil poseben glavni ključ.

Koda je sledeča: ***00000099#*

Prve tri zvezdice aktivirajo administrativni način naprave, šest ničel je tovarniško privzeto geslo, z ukazom 99# se odprejo vrata, s končno zvezdico pa se ponovno izključi administrativni način.

Proizvajalec seveda ni nič kriv, varnost skozi skrivanje (security through obscurity) pa spet "deluje"...

10 komentarjev

Sedem najbolj zabavnih kiberkriminalnih dejanj leta 2008 po izboru Wireda

Wired Blog - Na Wiredu so objavili seznam sedmih najbolj zabavnih kiberkriminalnih dejanj leta 2008.

Prvo mesto zaseda bančni rop, kjer je ropar oblečen v modro majico, površnik, z zaščitno masko in očali s poprovim razpršilcem onesposobil voznika blindiranega vozila ter ukradel 400.000 USD. Ko je na mesto ropa prispela policija, je bilo na mestu zločina večje število enako oblečenih oseb. Kasnejša preiskava je pokazala, da je ropar (kasneje so ga ujeli) na spletu objavil oglas, da ponuja službo na gradbišču, prosilci za delo pa naj ob določeni uri pridejo na določeno mesto oblečeni v enaka oblačila, kot jih je nosil ropar.

Drugo mesto zaseda precej iznajdljiva goljufija nekoga, ki je ugotovil, da ob odprtju bančnega računa banka na denar nakaže manjši znesek s katerim preveri ali je bančni račun uspešno odprt. Prevarant je napisal skripto, ki je odprla 60.000 bančnih računov ter s pomočjo teh "testnih" nakazil zbral 58.000 USD. Na njegovo smolo so ga dobili.

Tretje mesto zaseda...

20 komentarjev

Vdor v Merkurjev POS sistem?

RTV Slovenija - MMC RTV Slovenija poroča, da naj bi za zdaj še neznani storilci med 13. in 19. februarjem letos vdrli v POS sistem Merkurjeve trgovine na Primskovem v Kranju in pridobili podatke o več kreditnih oziroma plačilnih karticah strank, ki so s plastičnim denarjem plačevale v omenjeni trgovini.

Zlikovci naj bi s tako pridobljenimi podatki dvigovali gotovino na Nizozemskem. Podatkov o tem, koliko kupcev je bilo oškodovanih, trenutno še ni na voljo, znano pa naj bi bilo, da so bile zlorabljene kartice več izdajateljev, ti pa so o tem že obvestili prizadete stranke.

V anketi na najdi.si je kar 31% respondentov odgovorilo, da še nikdar niso kupovali prek interneta, saj se jim to ne zdi varno. Bodo taisti ljudje sedaj začeli panično zažigati kreditne kartice?

70 komentarjev

Nov način vdora v bančne avtomate

Schneier.com - Kot na svojem blogu poroča Schneier, je v ZDA za zdaj še neznani storilec oropal nekaj bančnih avtomatov na precj hi-tech način.

Storilec je namreč za bančni avtomat Tranax Mini Bank 1500 iz spletne strani proizvajalca pridobil uporabniški priročnik. V njem je med drugim lahko prebral navodila kako vstopiti v administracijski način s privzetimi gesli. Ker bančni avtomat ni imel spremenjenega privzetega gesla, je storilec preprogramiral avtomat tako, da je namesto 5-dolarskih bankovcev izplačeval 20-dolarske.

Kljub varnostnim kameram in domnevni visoki varnosti avtomatov, je za zdaj še neznani storilec po izplačilu veselo odkorakal z štirikratno vsoto denarja prigoljufanega denarja v žepu. Goljufijo so odkrili šele po devetih dneh.

33 komentarjev

iPodomati

Gizmodo - Podjetje Zoom Systems, ki je znano po prodaji raznih izdelkov iz avtomatov, se je pred kratkim odločilo za nov poslovni korak. V svojo ponudbo so med pločevinke z osvežilnimi pijačami in čokoladice dodali Applove izdelke in tako ustvarili iPodmat. Tako lahko sedaj najpopularnejši predvajalnik glasbe kupimo kar brez posredovanja prodajalca - skozi dobro zavarovan postopek nas vodi na dotik občutljiv ekran, na katerem označimo izdelek, plačilo pa opravimo s kreditno kartico. Avtomati bodo zaenkrat na voljo v nekaterih letališčih v ZDA, cene pa bodo podobne, kot v Applovih trgovinah.

16 komentarjev

GTA San Andreas "že zunaj"

Slo-Tech -

Težko pričakovani peti del serije GTA, ki je s tretjim delom, ko je zaživela v treh dimenzijah, postala ena izmed najbolj popularnih iger, četrti del, imenovan Vice City, pa jo je le še potrdil, je že pred uradno predstavitvijo ušel.

Čeprav je datum uradnega začetka prodaje za ZDA 26., za Evropo pa 29. oktober, so neznani storilci ukradli izvod igre in jo na internetu v celoti objavili. V Rockstar Games v svoji uradni izjavi poudarjajo, da so prenos, posest in redistribucija igre kraja. Neljubi dogodek še preiskujejo, v isti sapi pa zatrjujejo, da to ne bo vplivalo na uradni izid igre. Computer And Video Games in Gamespot.

14 komentarjev

Mariner IV - prvi prelet Marsa ali kako so to počeli naši očetje

Slo-Tech - Medtem, ko se bo, kot vse kaže, Spirit le pozdravil in nadaljeval z delom ter se mnogi sprašujejo, čemu NASA ni storila tega ali onega, si lahko preberete nekaj malega o dogajanju 'za kulisami' pri misiji Mariner IV. Misiji, ki je človeštvu ob bližnjem mimoletu poslala prve slike rdečega planeta.

Takrat so bili napadalni marsovci še vroča tema, konkretih podatkov pa le malo. Mnogi so celo upali, da bodo lahko uzrli umetno zgrajene kanale in se spraševali, ali bi Marsovska obramba lahko sklatila satelit ...

Treba jim je priznati, fantje in dekleta so se fantastično odrezali in vse pomankljivosti (za nas) arhaične strojne opreme kompenzirali z veliko ustvarjalnosti ter dobre volje.

Bill Momsen, takratni inženir v telekomunikacijski ekipi pri JPL, nam podaja ozadje dogodkov. Zelo zanimivo in napeto branje.

1 komentar

Devet dni CS-ja

Slo-Tech - Ne vem, kaj si mislite vi, a ko sem sam prebral tak naslov sem mislil, da gre za kak LAN party. Ko pa sem bral dalje sem videl, da gre za nekaj povsem drugega. 14-letni Romun Michel Savin je devet dni (ja, devet dni) neprestanoma igral vsem znano igro Counter-Strike. Po devetih dneh se je zgrudil in odpeljali so ga v bolnišnico. Zdravniki so rekli, da je bil psihično in duševno povsem izčrpan. Kot pravi njegova mama se ni niti umival, izgubil pa je skoraj 9 kg. Doma je baje celo kradel denar in se lagal, da bi lahko prišel do interneta in igral Counter-Strike. Hja ... pa naj še kdo reče, da igre niso nevarna droga. [:D] Izvirna novica.

7 komentarjev

ATM PIN v petnajstih poizkusih

The Register -

Raziskovalci na britanskem Cambridgeu so objavili poročilo, v katerem trdijo, da lahko s posebno metodo v povprečno petnajstih poizkusih odkrijejo PIN kodo, ki na avtomatih varovanih z ATM sistemom omogoča dvig denarja s transakcijskga računa. Bančni avtomati so zasnovani tako, da bi povprečen zlikovec potreboval približno pet tisoč poizkusov, da bi uganil pravo PIN kodo, zaradi česar so omenjena dejstva še bolj zaskrbljujoča.

Napad na kodo je seveda zapletenejši, kot se zdi na prvi pogled. Zlikovci tako ne vpisujejo direktno PIN številke, marveč to preračunavajo prek posebnih tabel. Zadeva je prezapletena za opis tukaj, zato je najbolje, da si poročilo preberete kar sami. Klik!

13 komentarjev